REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACION

INSTITUTO UNIVERSITARIO POLITÉCNICO SANTIAGO MARIÑO

EXTENSIÓN PORLAMAR - SEDE GENOVÉS

AUDITORÍA INFORMÁTICA

AUTOR:

FREDDY JAVIER MORENO BRAVO

C.I.: 18.058.745

AUDITORIA Y EVALUACIÓN DE SISTEMAS (SAIA)

PORLAMAR, SEPTIEMBRE DE 2012

Introducción

En este informe se presentan diversos puntos correspondientes al tema de

la auditoría, iniciándose desde su historia y evolución hasta describir el perfil

profesional de un auditor Informático.

Cabe destacar que la auditoria tiene ciertas variedades, es por esto que se

ha desarrollado el presente trabajo con la intención de dar a conocer el punto de

vista de su autor, sintetizando y resaltando los temas más relevantes, adecuados y

correspondientes a la computación, sistemas, y la ingeniería de estas mismas

ramas como tal.

Se realiza en palabras propias y se muestran cuadros y mapas

conceptuales para graficar las ideas a presentar y de esta manera poder hacer del

mismo, un medio informativo de fácil entendimiento para sus lectores.

Auditor

Un auditor es aquel que ha sido designado por una autoridad competente,

para examinar, evaluar y revisar los resultados de una gestión administrativa y/o

financiera de una institución, empresa u organización, con el fin de informar acerca

de estos procesos en busca de recomendaciones u observaciones que permitan

optimizar el desempeño de las mismas.

Auditoría

Sabiendo esto, es posible y definir a la auditoria como una función de

dirección cuya finalidad es analizar y apreciar, con vistas a las eventuales

acciones correctivas, el control interno de las organizaciones y sus procesos.

AÑO 1284

Año 1492

Siglo XV

Siglo XIX

Siglo XX

Mapa cronológico de la historia y evolución de la auditoría según Carlos Muños Razo

El descubrimiento de América, contribuyó también al crecimiento de la actividad de la auditoría, pues la

Corona envió visitadores a revisar las cuentas y resultados de sus colonias; dichos visitadores supervisaban

que el registro y manejo de las cuentas fueran correctos y emitían una opinión sobre la actuación de los

encargados.

Al subir al trono Sancho VI "El Bravo", ordeno a algunos de sus hombres de confianza que controlaran el destino de los

caudales públicos. Como resultado de esta medida y como producto de su reinado, se origino el tribunal de cuentas en

España

Se estima que el verdadero nacimiento de la auditoria fue a finales del siglo XV cuando países

poderosos y algunos personajes influyentes de ese entonces, recurrían a los servicios de revisores

de cuentas, quienes se encargaban de revisar las cuentas manejadas por los administradores de

sus bienes, y se aseguraban de que no hubiera fraudes en los reportes que se les presentaban.

A mediados del siglo XIX, la Ley de Empresas del Reino Unido de Inglaterra, impuso

la obligación de ejecutar auditorías a los resultados financieros, el balance general, los

registros contables y las actividades financieras de las empresas públicas

Del año 1912 al 1984, desde el Instituto de Contadores Públicos de

España hasta Robert J. Thierauf, quien habló sobre la auditoria

administrativa como una técnica utilizada para evaluar las áreas

operacionales de una organización, enfocando su trabajo desde el punto

de vista administrativo

Mapa Conceptual de los diferentes tipos de Auditoría según Carlos

Muños Razo

Auditorías

Por su lugar de aplicación Por su área de aplicación

Auditoría externa Auditoría financiera

Auditoría interna Auditoría administrativa

Especializadas en áreas específicas Auditoría operacional

Auditoría al área médica Auditoría integral

(Evaluación médico-sanitaria) Auditoría gubernamental

Auditoría al desarrollo de obras y Auditoría de sistemas

Construcciones De sistemas computacionales

(Evaluación de ingeniería) Auditoría informática

Auditoría fiscal Auditoría con la computadora

Auditoría laboral Auditoría sin la computadora

Auditoría de proyectos de inversión Auditoría a la gestión informática

Auditoría a la caja chica o Auditoría al sistema de cómputo

Caja mayor (arqueos) Auditoría alrededor de la computadora

Auditoría al manejo de mercancías Auditoría de la seguridad

(inventarios) de sistemas computacionales

Auditoría ambiental Auditoría a los sistemas de redes

Auditoría de sistemas Auditoría integral a los centros de cómputo

Auditoría ISO-9000 a los sistemas computacionales

Auditoría outsourcing

Auditoría ergonómica de sistemas computacionales

Cuadro comparativo

Auditoria Interna Auditoria Externa

Ventajas Desventajas Ventajas Desventajas

Facilita una ayuda

primordial a la dirección al

evaluar de forma

relativamente

independiente los

sistemas de organización

y de administración

Facilita una evaluación

global y objetiva de los

problemas de la empresa,

que generalmente suelen

ser interpretados de una

manera parcial por los

departamentos afectados.

Pone a disposición de la

Tiene la desventaja que cada

empresa tiene sus

características propias y

especiales de manera que

deben enfocarse al tipo de

empresa que se trate, además

puede modificarse por que es

el control interno halla variado

por lo que los procedimientos

también serán diferentes.

Las ventajas para todos

los empresarios, no

importando su tamaño,

localización o sector en el

que actúen sus empresas.

Los diversos métodos de

trabajo empleados en las

auditorías externas

permiten su adecuación al

tipo de empresa al que se

dirige en cada caso. La

auditoría empresarial

puede ser aprovechada,

entre otras cosas, en los

procesos siguientes:

El trabajo es más

arduo en la

recopilación de datos

para explicar

resultados como:

Falta de elementos

en los almacenes de

repuestos

Falta o exceso en el

almacenaje de

materias primas

Falta o exceso en el

almacenaje de

productos terminados

Deficiente instalación

dirección un profundo

conocimiento de las

operaciones de la

empresa, proporcionado

por el trabajo de

verificación de los datos

contables y financieros.

Contribuye eficazmente a

evitar las actividades

rutinarias y la inercia

burocrática que

generalmente se

desarrollan en las grandes

empresas.

Favorece la protección de

los intereses y bienes de

la empresa frente a

terceros.

• Reorganización de la empresa

• Atribución o reparto de nuevas

funciones a los empleados

• Análisis de los asuntos

empresariales

• Elaboración de descripciones de

los puestos de trabajo

• Estudio de los requisitos de las

competencias para cada puesto

• Examen de la actitud de los

empleados hacia el trabajo

• Estudio de la motivación de los

empleados

contra incendio o mal

desarrollo de Plan de

emergencia

Deficiencias en la

contabilidad

Deficiencias en

algunas Normas ISO

Deficiencias en el

plan de trabajo de

calidad (partes diarios

de trabajo de cada

departamento)

Deficiencias en la

distribución ordenada

de deshechos

Definición de Auditoria informática

Es el conjunto de técnicas, procedimientos y actividades, destinados a

analizar y evaluar el funcionamiento de los sistemas informáticos de un ente, por

lo que comprende un examen metódico, puntual y discontinuo, con el propósito de

mejorar aspectos como: Control y seguridad de los sistemas informáticos;

Cumplimiento de la normativa tecnológica del ente; Control de planes de

contingencia; Eficacia y rentabilidad en el manejo de los sistemas.

Alcance de la auditoría informática

El alcance ha de definir con precisión el entorno y los límites en que va a

desarrollarse la auditoria informática, se completa con los objetivos de ésta. El

alcance ha de figurar expresamente en el Informe Final, de modo que quede

perfectamente determinado no solamente hasta que puntos se ha llegado, sino

cuales materias fronterizas han sido omitidos. En este sentido un ejemplo de este

control surge al plantearse las siguientes cuestiones ¿Se someterán los registros

grabados a un control de integridad exhaustivo- ¿Se comprobará que los controles

de validación de errores son adecuados y suficientes.

La indefinición de los alcances de la auditoria compromete el éxito de la

misma. Características de la auditoría informática.

La información de la empresa y para la empresa, siempre importante, se ha

convertido en un Activo de la misma, como sus Stocks o materias primas si las

hay. Por ende, han de realizarse inversiones informática, materia de la que se

ocupa la Auditoria de Inversión Informática.

Importancia de la Auditoria Informática en una Organización

Los órganos de la los Sistemas Informáticos están sometidos al control

correspondiente, circunstancia que no se debe olvidar. La importancia de llevar un

control de esta herramienta se puede deducir de varios aspectos que a

continuación se detallaran:

- Las computadoras y los Centros de Proceso de Datos se convirtieron en

blancos apetecibles no solo para el espionaje, sino para la delincuencia y el

terrorismo. En este caso interviene la Auditoria Informática de Seguridad.

- Las computadoras creadas para procesar y difundir resultados o

información elaborada pueden producir resultados o información errónea si dichos

datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las

mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los

datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se

provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso

interviene la Auditoria Informática de Datos.

- Un Sistema Informático mal diseñado puede convertirse en una

herramienta harto peligrosa para la empresa: como las maquinas obedecen

ciegamente a las órdenes recibidas y la modelización de la empresa está

determinada por las computadoras que materializan los Sistemas de Información,

la gestión y la organización de la empresa no puede depender de un Software y

Hardware mal diseñados.

Estos son solo algunos de los varios inconvenientes que puede presentar

un Sistema Informático, de ahí la necesidad de la Auditoría de Sistemas.

Auditoria Informática y Auditoria de Sistemas de Información

Similitudes Diferencias

No se requieren nuevas normas de auditoría, son las mismas.

Se establecen algunos nuevos procedimientos de auditoría.

Los elementos básicos de un buen sistema de control contable interno siguen siendo los

mismos; por ejemplo, la adecuada segregación de funciones.

Hay diferencias en las técnicas destinadas a mantener un adecuado

control interno contable.

Los propósitos principales del estudio y la evaluación del control contable interno son la

obtención de evidencia para respaldar una opinión y determinar la base, oportunidad y

extensión de las pruebas futuras de auditoría.

Hay alguna diferencia en la manera de estudiar y evaluar el control interno

contable.

El énfasis en la evaluación de los sistemas manuales esta en la evaluación de transacciones, mientras que el énfasis en los sistemas informáticos, está en la

evaluación del control interno.

Características y Objetivos de la Auditoría Informática

La Auditoría Informática se puede definir como “el conjunto de

procedimientos y técnicas para evaluar y controlar un sistema informático con el

fin de constatar si sus actividades son correctas y de acuerdo a las normativas

informáticas y generales en la organización”.

La Auditoría Informática deberá comprender no sólo la evaluación de los

equipos de cómputo, de un sistema o procedimiento específico, sino que además

tendrá que evaluar los sistemas de información en general desde sus entradas,

procedimientos, controles, archivos, seguridad y obtención de información.

Esta es de vital importancia para el buen desempeño de los sistemas de

información, ya que proporciona los controles necesarios para que los sistemas

sean confiables y con un buen nivel de seguridad. Además debe evaluar todo:

informática, organización de centros de información, hardware y software.

La Auditoría del Sistema de Información en la empresa, a través de la

evaluación y control que realiza, tiene como objetivo fundamental mejorar la

rentabilidad, la seguridad y la eficacia del sistema mecanizado de información en

que se sustenta.

El alcance ha de definir con precisión el entorno y los límites en que va a

desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El

alcance ha de figurar expresamente en el Informe Final, de modo que quede

perfectamente determinado no solamente hasta que puntos se ha llegado, sino

cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los

registros grabados a un control de integridad exhaustivo? ¿Se comprobará que los

controles de validación de errores son adecuados y suficientes? La indefinición de

los alcances de la auditoría compromete el éxito de la misma.

Control de integridad de registros: Hay Aplicaciones que comparten

registros, son registros comunes. Si una Aplicación no tiene integrado un registro

común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación

no funcionaría como debería.*Control de validación de errores: Se corrobora que

el sistema que se aplica para detectar y corregir errores sea eficiente.

Características de la Auditoría Informática

La información de la empresa y para la empresa, siempre importante, se ha

convertido en un Activo Real de la misma, como sus Stocks o materias primas si

las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se

ocupa la Auditoría de Inversión Informática. Del mismo modo, los Sistemas

Informáticos han de protegerse de modo global y particular: a ello se debe la

existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de

Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de

Sistemas.

Cuando se producen cambios estructurales en la Informática, se reorganiza

de alguna forma su función: se está en el campo de la Auditoría de Organización

Informática. Estos tres tipos de auditorías engloban a las actividades auditoras que

se realizan en una auditoría parcial. De otra manera: cuando se realiza una

auditoria del área de Desarrollo de Proyectos de la Informática de una empresa,

es porque en ese desarrollo existen, además de ineficiencias, debilidades de

organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

Síntomas de Necesidad de una Auditoría Informática

Las empresas acuden a las auditorías externas cuando existen síntomas

bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

Síntomas de descoordinación y desorganización

- No coinciden los objetivos de la Informática de la Compañía y de la propia

Compañía.- Los estándares de productividad se desvían sensiblemente de los

promedios conseguidos habitualmente. [Puede ocurrir con algún cambio masivo

de personal, o en una restructuración fallida de alguna área o en la modificación

de alguna Norma importante]

Síntomas de mala imagen e insatisfacción de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos:

cambios de Software en los terminales de usuario, refrescamiento de paneles,

variación de los ficheros que deben ponerse diariamente a su disposición, etc.- No

se reparan las averías de Hardware ni se resuelven incidencias en plazos

razonables. El usuario percibe que está abandonado y desatendido

permanentemente.

- No se cumplen en todos los casos los plazos de entrega de resultados

periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la

actividad del usuario, en especial en los resultados de Aplicaciones críticas y

sensibles.

Síntomas de debilidades económico-financieras:

- Incremento desmesurado de costes. Necesidad de justificación de

Inversiones Informáticas (la empresa no está absolutamente convencida de tal

necesidad y decide contrastar opiniones). Desviaciones Presupuestarias

significativas.

- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a

Desarrollo de Proyectos y al órgano que realizó la petición).

Síntomas de Inseguridad: Evaluación de nivel de riesgos

- Seguridad Lógica y/o Seguridad Física

Confidencialidad [Los datos son propiedad inicialmente de la organización

que los genera. Los datos de personal son especialmente confidenciales]-

Continuidad del Servicio. Es un concepto aún más importante que la Seguridad.

Establece las estrategias de continuidad entre fallos mediante Planes de

Contingencia Totales y Locales.

- Centro de Proceso de Datos fuera de control, Si tal situación llegara a

percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en

este caso, el síntoma debe ser sustituido por el mínimo indicio.

El Auditor Informático debe ser una persona con un alto grado de

calificación técnica y al mismo tiempo estar integrado en las corrientes

organizativas empresariales que imperan hoy en día. Se deben de contemplar las

siguientes características para mantener el perfil profesional adecuado y

actualizado: 1. La persona o personas que integren esta función deben contemplar

en su formación básica una mezcla de conocimientos de auditoría financiera y de

informática en general .Estos últimos deben contemplar conocimientos básicos de:

Desarrollo informático, gestión de proyectos y del ciclo de vida de un

proyecto de desarrollo. Gestión del departamento de sistemas. Análisis de riesgo

en un entorno informático. Sistema operativo. Telecomunicaciones. Gestión de

base de datos. Seguridad física. Operaciones y planificación informática. Gestión

de la seguridad de los sistemas y de la continuidad empresarial a través de planes

de contingencia de la información. Gestión de problemas y de cambios en

entornos informáticos. Administración de datos. Comercio electrónico. Encriptación

de datos.

A estos conocimientos básicos se les deberá añadir una especialización en

función de la importancia económica que distintos componentes financieros

puedan tener en un entorno empresarial. Así en un entorno financiero pueden

tener mucha importancia las comunicaciones y será necesario que alguien dentro

de la función de auditoría informática tenga esta especialización, pero esto mismo

puede no ser válido para un entorno productivo en el que las transacciones EDI

pueden ser más importantes.

El auditor informático debe conocer técnicas de gestión empresarial y sobre

todo de gestión del cambio ya que las recomendaciones y soluciones que aporten

deben estar en la línea de la búsqueda optima de la mejor solución para los

objetivos empresariales que se persiguen y con los recursos que se tienen.

El auditor informático debe tener siempre el concepto de calidad total.

Como parte de un colectivo empresarial, bien sea permanentemente como auditor

interno o puntualmente como auditor externo, el concepto de calidad total hará que

sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de

la organización y que los resultados sean aceptados en su totalidad. Esta

aplicación organizativa debe hacer que la propia imagen del auditor informático

sea más reconocida de forma positiva por la organización.